《网络操作系统(Windows Server 2003)-电子教案-王红 第4章》由会员分享,可在线阅读,更多相关《网络操作系统(Windows Server 2003)-电子教案-王红 第4章(105页珍藏版)》请在金锄头文库上搜索。
1、网络操作系统(Windows Server 2003),主编 王红 中国水利水电出版社,第4章 Active Directory和域,本章学习目标,Active Directory和域是Windows Server 2003的重要组成部分,二者是紧密相关的两个概念。本章主要讲解Active Directory和域的相关基础知识以及如何创建域、管理域。通过本章学习,读者应该掌握以下内容: Active Directory基础 域的相关概念 域的建立 域的管理,4.1 Active Directory基础,Active Directory是Windows Server 2003提供的目录服务。Ac
2、tive Directory可以存储各种对象的有关信息,并使该信息易于管理员和用户查找及使用,它使用结构化的数据存储作为目录信息的逻辑层次结构的基础,同时将安全性集成到了Active Directory中,通过网络登陆,系统管理员能够管理整个网络中的目录数据和单位,而且获得授权的网络用户也可以访问网络上的任何地方的资源。,4.1.1Active Directory概念,Active Directory(活动目录,可简称为AD)是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。 Active Directory包括两个方面:目录和与目录相关的服务。目录是存储各种对象的一个物
3、理上的容器,从静态的角度来理解这活动目录与我们以前所结识的“目录”和“文件夹”没有本质区别,仅仅是一个对象,是一实体;而目录服务是使目录中所有信息和资源发挥作用的服务,活动目录是一个分布式的目录服务,信息可以分散在多台不同的计算机上,保证用户能够快速访问,因为多台机器上有相同的信息,所以在信息容器方面具有很强的控制能力,正因如此,不管用户从何处访问或信息处在何处,都对用户提供统一的视图。,1名字空间:,从本质上讲,活动目录就是一个名字空间,我们可以把名字空间理解为任何给定名字的解析边界,这个边界就是指这个名字所能提供或关联、映射的所有信息范围。 名字解析是把一个名字翻译成该名字所代表的对象或者
4、信息的处理过程。,2对象,对象是活动目录中的信息实体,也即我们通常所见的“属性”,但它是一组属性的集合,往往代表了有形的实体,比如用户帐户、 文件名等。对象通过属性描述它的基本特征,比如,一个用户账号的属性中可能包括用户姓名、 电话号码、 电子邮件地址和家庭住址等。,3容器,容器是活动目录名字空间的一部分,与目录对象一样,它也有属性,但与目录对象不同的是,它不代表有形的实体,而是代表存放对象的空间,因为它仅代表存放一个对象的空间,所以它比名字空间小。比如一个用户,它是一个对象,但这个对象的容器就仅限于从这个对象本身所能提供的信息空间,如它仅能提供用户名、用户密码。其它的如:工作单位、联系电话、
5、家庭住址等就不属于这个对象的容器范围了。,4目录树,在任何一个名字空间中,目录树是指由容器和对象构成的层次结构。树的叶子、节点往往是对象,树的非叶子节点是容器。目录树表达了对象的连接方式,也显示了从一个对象到另一个对象的路径。在活动目录中,目录树是基本的结构,从每一个容器作为起点,层层深入, 都可以构成一棵子树。一个简单的目录可以构成一棵树,一个计算机网络或者一个域也可以构成一棵树。 “目录树”其实描述的是一种“路径关系”。,5域,域是Windows 2003网络系统的安全性边界。一个计算机网络最基本的单元就是“域”,但活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可
6、以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域共享。,6组织单元,包含在域中特别有用的目录对象类型就是组织单元。组织单元是可将用户、组、计算机和其他单元放入活动目录的容器中,组织单元不能包括来自其他域的对象。组织单元是可以指派组策略设置或委派管理权限的最小作用单位。使用组织单元,可在组织单元中代表逻辑层次结构的域中创建容器,这样就可以根据组织模型管理帐户、资源的配置和使用,可使用组织单元创建可缩放到任意规模的管理模型。可授予用户对域中所有组织单元或对单个组织单元的
7、管理权限,组织单元的管理员不需要具有域中任何其他组织单元的管理权,组织单元有点像在NT时代的工作组,从管理权限上来讲可以这么理解。,4.1.2Active Directory功能,简化管理 增强信息的安全性 3智能的信息复制能力 4与DNS集成紧密 5灵活的查询功能,4.1.3Active Directory结构,Active Directory是一个分布式的目录服务,因为信息可以分散在多台不同的计算机上,保证各计算机用户快速访问和容错;同时不管用户从何处访问或信息处在何处,对用户提供统一的视图,使用户更容易理解和掌握。 Active Directory采用域、域树、域林构成的层次化的目录结构
8、。,1域,域(Domain)是Windows Server 2003目录服务的基本管理单位, Windows Server 2003把一个域作为一个完整的目录,在Windows Server 2003网络中,一个域能够轻松管理数据万个对象。域是Active Directory服务逻辑结构的核心单元,是对象的容器。,2域树,域树由多个域组成。域树中的第一个域称作根域。相同域树中的其他域为子域。相同域树中直接在另一个域上一层的域称为父域。具有公用根域的所有域构成连续名称空间。这意味着单个域目录中的所有域共享一个等级命名结构。 域树中的Windows Server 2003域通过双向可传递信任关系连
9、接在一起。由于这些信任关系是双向的而且是可传递的,因此在域树中新创建的域可以立即与域树或域林中其他的Windows Server 2003域建立信任关系。这些信任关系充许单一登录过程在域树或域林中的所有域上对用户进行身份验证。不过,这也并不意味着经过身份验证的用户在域树的所有域中都拥有相应的权利和权限。因为域是安全界限,所以必须在每个域的基础上指派权利和权限。,图4-1 域树示意图,3域林,域林包括多个域树。其中的域树不形成邻接的名称空间。而且域林也有根域。域林的根域是域林中创建的第一个域。域林中所有域树的根域与域林的根域建立可传递的信任关系。,图4-2 域林示意图,4.2域,4.2.1域的定
10、义 微软公司把域定义为用户和计算机组成的一个逻辑组。但这个定义同样适用于工作组(或对等型)网络。更好的定义应该是: 域是由集中共享的帐户数据管理的用户和计算机的逻辑组。 域和Active Directory是密切相关的两个概念。从域的角度来看,Active Directory是由至少一个域所构成的集合;若从Active Directory的角度看,域则是Active Directory的分区单位。,中央管理数据库的概念是理解域及其功能的关键。,在过去的技术(工作组)中,每台向网络提供服务的计算机都有自己的帐户数据库。这样造成一个用户在多台计算机上都有帐户存在。这种管理对用户和管理员都造成了重复
11、工作。 在域中,帐户数据库位于中央服务器。该服务器称做“域控制器”,处理所有登录要求、资源认证和管理任务。帐户管理通过域控制器中存储的中心帐户数据库来完成。当一个用户的帐户在域控制器中创建后,他便可使用网络中的任何一项被授权的资源。,4.2.2域控制器,在Windows Server 2003的网络环境中,各域必须至少有一台域控制器(Domain Controller,简写为DC),存储此域中的Active Directory信息,并提供域相关服务,例如:登录验证、名称解析等。换言之,没有域控制器,就没有所谓的域。 在域中,可以同时存在多台域控制器,各域控制器都处于平等关系。亦即网管人员可以在
12、域内任何一台域控制器上管理Active Directory,包括建立帐号、设置组策略、委派控制等。用户也可通过任何一台域控制器来登录域,并访问Active Directory数据库。,设置多台域控制器主要是为了提高域的容错能力,以弥补某一台域控制器故障时,还有其它域控制器可维持域的运行,不致造成域全面瘫痪。由于域可能跨越数个以低速连接的局域网络,为避免用户每次登录或访问Active Directory时都通过低速连接,因此可视需求在各局域网络中架设域控制器,以提升使用效率。 使用单个局域网 (LAN) 的小单位可能只需要一个具有两个域控制器的域。具有多个网络位置的大公司在每个站点都需要一个或多
13、个域控制器以提供高可用性和容错能力。如果某一网络划分为多个站点,那么通常一种较好的做法是在每个站点中至少配置一台域控制器以提高网络性能。,当用户登录网络时,作为登录过程的一部分必须联系域控制器。如果客户必须连接位于不同站点的域控制器,那么登录过程将耗费很长的时间。通过在每个站点中创建域控制器,在站点内的用户登录处理会更加有效。 由于域中所有的域控制器具有相同的Active Directory数据库,且网管人员可在任一台域控制器上修改Active Directory信息,因此域控制器间必须有复制(Replication)机制,以维持Active Directory数据的一致性。,4.2.3域间的
14、信任关系,域和域之间的通信是通过信任发生的。信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。 信任关系是指在域之间建立的逻辑关系,以便允许通过身份验证,其中信任域负责受信域的登录验证。受信域中定义的用户帐户和全局组可以获得信任权利和权限,即使该用户帐户或组不在信任域的目录中。,域信任关系一般可分为单向、双向、可传递和不可传递四种。,1单向信任 是两个域之间创建的单向身份验证路径。这意味着在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户不能访问域 A 中的资源。 2双向信任 两个域之间的信任关系,在该关系中,两个域互相信
15、任。例如,A 域信任 B 域,并且 B 域也信任 A 域。,3可传递信任 在整个的一组域(例如域树)间流通、并在域和信任该域的所有域之间形成的信任关系。例如,如果 A 域和 B 域之间存在可传递信任,并且 B 域信任 C 域,则 A 域也信任 C 域。 可传递信任可以是单向的,也可以是双向的,并且是基于 Kerberos 的身份验证和 Active Directory 复制所要求的。 4非传递信任 多域环境中的一种信任关系,仅限制在两个域之间。例如,如果 A 域具有和 B 域的非传递信任,并且 B 域信任 C 域,则 A 域和 C 域之间没有信任关系。 非传递信任可以为单向或双向。,4.2.3
16、域结构,通常有4种基本类型的域结构:单一域模型、主域模型、多主域模型和完全信任模型。企业根据其规模、地理分布以及其他资源条件,可以选择不同的域结构。,1单一域模型,单一域模型(Single Domain Model)是最常见也是最适合小型企业的模式,如图4-3如示。,这种模式的优点是:在这种结构下,没有由于太多域所衍生的复杂的管理问题,也没有域间的信任关系。所有资源整合在单一域中,可以集中控制管理。 这种模式的缺点是:随着域中的帐户等资料均需由域控制器来管理与验证,从而导致网络在复制帐户与提供登录服务的资料传输量过量而影响网络传输速度,甚至影响域控制器所提供的文件、打印等服务。,2主域模型,主域模型(Master Domain Model)适用于规模较完备的企业,可依照部门来规划域。其中一个域为主域,如图4-4所示。,在主域模型结构中,所有域的帐户将统一由主域进行管理,其它的域为“从域”。而从域到主域之间有信任关系。主域负责帐户的维护,其他从域则不需要建立任何帐户资料,可负责其他文件或打印服务。 该模型的优点是:虽然主域负责帐户的维
